Studie zur Sicherheit von Open-source und proprietärer Software wurde von der OSBA veröffentlicht
Die lang erwartete Sicherheitsstudie der Open Source Business Alliance (OSBA)1 ist nach über zehn Monaten harter Arbeit abgeschlossen. Die Ergebnisse sind faszinierend: Open Source ist heutzutage nahezu allgegenwärtig und in etwa 90% der proprietären Softwareprodukte nachweisbar integriert. Die Unterscheidung zwischen "Open" und "Proprietär" existiert somit nicht mehr. Die Studie verdeutlicht, dass IT-Sicherheit ohne Open-Source-Komponenten nicht mehr denkbar ist.
Ziel dieser Studie war es zu untersuchen, wie die Sicherheit in Open-Source-Software und proprietärer Software zu bewerten und perspektivisch zu verbessern ist. Dazu wurden beide Entwicklungsansätze zunächst in Relation gestellt, indem ihre charakteristischen Aspekte verglichen wurden. In diesem Zuge wurden besonders Gegensätze aber auch Synergien identifiziert. Ziel war daher die Klärung der Frage, ob einer der beiden Entwicklungsansätze per se sicherer ist. Zielgruppe der Studie sind Organisationen die sowohl Open Source als auch proprietäre Software einsetzen wollen oder Open-Source-Komponenten in ihre Software integrieren möchten.
Auch stellte die Studie fest, dass eine objektiv begründete Softwareauswahl nicht immer einfach zu treffen ist. Häufig werden dafür „weiche“ Kriterien wie Popularität oder Aktivität eines Projektes als Entscheidungskriterium herangezogen. Um einen umfassenderen Eindruck zu erhalten, lassen sich drei Indikatoren festhalten:
- Vitalität und Lebendigkeit eines Projekts: Dabei werden Faktoren wie die Häufigkeit von Änderungen am Quelltext, die Anzahl der Mitwirkenden oder das Alter des Projekts berücksichtigt.
- Strukturiertheit und Qualität: Bewertung der Projektstruktur, der Dokumentation und des Quelltexts.
- Community und Ökosystem: Entscheidende Faktoren sind hier verfügbare Kommunikationskanäle, Lizenzabdeckung, Diversität und Projektkultur.
Keine dieser Indikatoren ist für sich allein genommen aussagekräftig. Erst die Kombination und die Betrachtung im Kontext und in Relation zu anderen Projekten ermöglicht die Beurteilung der Qualität einer Software. Bei Open-Source-Software sind die relevanten Daten frei einsehbar und auswertbar. Einige Kriterien sind bei proprietärer Software nicht anwendbar, da die notwendigen Daten, wie z.B. beteiligte Personen und Änderungen am Quelltext, nicht einsehbar sind. Einige Indikatoren müssen auch subjektiv beurteilt werden, wie z.B. die Qualität der Dokumentation.
Diese Studie stellte beim Vergleich Open Source versus proprietäre Software Gegensätze und Synergien fest. Unumstritten ist Open-Source-Software auf dem Vormarsch, gewinnt immer mehr Marktanteil und wird zur echten Alternative von proprietärer Software. Denn selbst proprietäre Software ist inzwischen stark von Open-Source-Komponenten durchdrungen. So unterschiedlich diese Entwicklungsmodelle auf den ersten Blick erscheinen mögen, so viele Gemeinsamkeiten weisen sie auf, wenn es darum geht, sichere Software zu produzieren. Denn keines der beiden Entwicklungsmodelle hat hier einen unbestreitbaren Vorteil. Entscheidend ist, dass sich beide Entwicklungsmodelle an den Praktiken sicherer Softwareentwicklung orientieren können.
Ob und in welchem Umfang dies tatsächlich geschieht, kann anhand von Kriterienkatalogen geklärt werden, die in dieser Studie vorgestellt werden. Open-Source-Software ist hier eindeutig im Vorteil, da solche Kriterien durch die Quelloffenheit unabhängig, transparent und nachvollziehbar überprüfbar ist. Proprietäre Software, die als Closed-Source-Software entwickelt wird, kann oder will diese Transparenz oft nicht bieten. Ein weiterer wichtiger Faktor ist die Organisation des Projektes und ob ggf. eine treibende Institution hinter dem Projekt steht. Gerade Open-Source-Projekte haben in den letzten Jahren durch die Unterstützung von Technologiegiganten wie Google, Meta, Microsoft und Co. einen regelrechten Boom erlebt.
Aus dieser Idee heraus entsteht auch kommerzielle Open-Source-Software, die ebenfalls Community-Projekte aufbaut und zielführend von Open-Source-Unternehmen vorangetrieben wird. Zu diesem Geschäftsmodell gehören auch Wartung, Support und vor allem die Rechtssicherheit im Vertrieb, die manche bei Open-Source-Software vermissen. Somit vereint kommerzielle Open-Source-Software die Vorteile von proprietärer Software (bspw. Support und Rechtssicherheit) mit denen von Open-Source-Software (bspw. Quelloffenheit und Diversität). Die Studie stellte abschließend fest, dass die Sicherheit einer Software nicht allein vom Entwicklungsmodell (ob Open Source oder proprietär) abhängt, sondern vielmehr von den Anstrengungen, die unternommen werden, um die Entwicklung sicher zu gestalten. Unternehmen die hinter einer Software stehen, können hier positiven Einfluss nehmen und Mehrwert generieren. Aber selbst die Einhaltung aller Best Practices kann keine vollkommen sichere Software garantieren. Es bleibt immer ein Restrisiko, das nur bei Open-Source-Software unabhängig messbar ist.
----------------------------------------------
1 Die OSB Alliance (OSBA) vertritt über 200 Mitgliedsunternehmen der Open-Source-Wirtschaft, zu denen auch die DECOIT® GmbH & Co. KG gehört. Zusammen mit den wissenschaftlichen Einrichtungen und Anwenderorganisationen setzt sich die OSBA dafür ein, die zentrale Bedeutung von Open Source Software und offenen Standards für eine digital souveräne Gesellschaft nachhaltig im öffentlichen Bewusstsein zu verankern. Dieser digitale Wandel soll Unternehmen, Regierungen, Behörden und Bürgern gleichermaßen zugutekommen.